كشفت شركة Koi Security المتخصصة في الأمن السيبراني عن رصد أول إضافة برمجية خبيثة تستهدف تطبيق Microsoft Outlook في بيئة العمل الواقعية، حيث استغل مهاجمون إضافة شرعية مهجورة لتحويلها إلى منصة لاختراق الحسابات. وأسفر هذا الهجوم، الذي يصنف ضمن هجمات سلسلة التوريد، عن سرقة بيانات دخول أكثر من 4,000 حساب لدى Microsoft، بالإضافة إلى معلومات مالية وحساسة.
تفاصيل الاختراق: استغلال الثقة في المتاجر الرسمية
بدأت الواقعة من إضافة تحمل الاسم AgreeTo، كانت متاحة بشكل رسمي في متجر إضافات Office كأداة لجدولة المواعيد وتنظيم التقاويم. وتوضح البيانات أن آخر تحديث لهذه الإضافة يعود إلى ديسمبر 2022، ما جعلها برمجية مهجورة من قبل مطورها الأصلي.
وتعتمد آلية عمل إضافات Office وOutlook على ما يعرف بملف Manifest، وهو ملف تعريفي بلغة XML يحدد هوية الإضافة ومصدر محتواها. تقوم شركة Microsoft بمراجعة هذا الملف وتوقيعه رقمياً للتأكد من سلامته عند نشره أول مرة، لكن الخطر يكمن في أن محتوى الإضافة الذي يظهر للمستخدم لا يتم تخزينه لدى Microsoft، بل يستدعى من خادم خارجي يتبع لمطور الإضافة.
كيف تحولت الأداة إلى شباك للصيد؟
بعد أن تخلى المطور الأصلي عن الإضافة، انتهت صلاحية ملكيته لنطاق الويب المرتبط بها، ما سمح لمهاجم مجهول بالاستحواذ على هذا النطاق. وبمجرد السيطرة عليه، قام المهاجم بتغيير المحتوى الذي تعرضه الإضافة داخل Outlook ليصبح صفحة دخول مزيفة تطابق تصميم صفحات Microsoft الرسمية.
وعندما يفتح المستخدم الإضافة من داخل بريده الإلكتروني، تظهر له صفحة تطلب منه تسجيل الدخول، لتقوم فوراً بإرسال كلمة المرور والبيانات المدخلة إلى المهاجم عبر واجهة برمجة تطبيقات خاصة بتطبيق تليجرام. ولإبعاد الشبهات، يتم توجيه المستخدم بعد ذلك إلى صفحة Microsoft الحقيقية. وبحسب Koi Security، لم تقتصر السرقات على كلمات المرور، بل شملت أرقام بطاقات ائتمانية وإجابات لأسئلة الأمان المصرفية.
مخاطر سلسلة التوريد في الإضافات البرمجية
يمثل هذا الهجوم نموذجاً متطوراً لهجوم سلسلة التوريد؛ حيث لا يهاجم المخترق الضحية بشكل مباشر، بل يخترق أداة أو خدمة يثق بها المستخدم ومثبتة من مصدر رسمي. وتكمن الفجوة الأمنية هنا في أن مراجعة Microsoft تقتصر على ملف التعريف الأولي، بينما يبقى المحتوى المتغير الذي يظهر عبر نافذة مدمجة خارج سيطرة التدقيق المستمر، ما يجعل الثقة في التوقيع الرسمي للملف مضللة في حال تغيرت ملكية الخادم المستضيف.
توصيات أمنية لحماية المؤسسات
دعت التقارير الأمنية مدراء تقنية المعلومات وفرق الأمن السيبراني إلى اتخاذ خطوات عاجلة للحد من هذه المخاطر:
- حصر وإدارة الإضافات: مراجعة كافة الإضافات المثبتة في المؤسسة وتطبيق قائمة السماح، مع إزالة أي إضافات غير ضرورية أو مهجورة.
- مراقبة الصلاحيات: التعامل بحذر شديد مع الإضافات التي تطلب صلاحيات، والتي تمنح الإضافة القدرة على قراءة وتعديل محتوى البريد الإلكتروني.
- التدقيق في النطاقات الخارجية: مراقبة عناوين الويب التي تتصل بها الإضافات، والتأكد من عدم انتهاء صلاحية ملكيتها أو انتقالها لجهات مجهولة.
- تعزيز حماية الدخول: تفعيل خاصية التحقق المتعدد (MFA) وسياسات الوصول المشروط، لضمان عدم قدرة المهاجم على استخدام كلمات المرور المسروقة بمفردها.
- ضبط سياسات النشر الإداري: تقييد صلاحيات تثبيت الإضافات للموظفين، ومراجعة عمليات النشر التلقائي التي تشمل جميع المستخدمين في المؤسسة.
